AVG: Hoe kom je als gemeente ‘in control’?

Programma

1. Opening

2. De implementatie van de AVG binnen de gemeente

3. De AVG Check; is mijn organisatie “in control” m.b.t. de AVG?

4. De nieuwste mogelijkheden van Data Leak Prevention (DLP)

5. Pauze

6. Hoe kijkt de Autoriteit Persoonsgegevens aan tegen de gemeentelijke praktijk

7. Paneldiscussie met sprekers en publiek

8. Borrel

Informatiebeveiliging en privacy in Heusden

Dromen. Doen. Heusden.

Wij zijn de gemeente voor Doeners met een Droom.

Wij staan open voor alle initiatieven uit de samenleving en ondersteunendeze van harte.

Mogelijkmakers bieden Heuse Service

Intensief cultuur traject sinds 2012. Mogelijkmakerschap vraagt om durf, de randen van speelveld opzoeken, buiten de lijntjes kleuren om zo dromenmogelijk te maken.

4

Powerpoint> Gemeente Heusden 5

BIG en AVG…..

6

Omdat het wettelijk bepaald is….

Onvoldoende sence of urgency….

En MogelijkMaken dan?

Grenzen opzoeken

Alles openbaar tenzij

Durf/lef

Transparant

7

Start projectteam

8

• Medewerker kwaliteit informatievoorziening & bedrijfsprocessen

• I&A coordinator

• Juridisch medewerker zorgdomein

• Beleidsmedewerker kwaliteitscontrol

• Portefeuillehouder?

• Externe begeleider

Project

• Realistisch plan van aanpak

• Begeleiding van het project met kennisoverdracht• Passen in de merkbelofte

Start• Interviews met belangrijke spelers• Noodzaak onder de aandacht• Hoe zitten we in de wedstrijd

• Toeval hielp om een sence of urgency te creëren• Plan van aanpak

9

Implementatie van de AVG en BIG

• Bewustwording• Vraagbaak• Privacybeleid, informatiebeveiligingsbeleid• Afvinken register- en verwerkersovereenkomsten• Impactanalyses

• Kennis opbouw• Beleggen rollen in de organisatie• 6 vereisten AVG

10

Belangrijk! Bewustwording!

• Phisingmail

• Crisisgame• Wekelijks bericht op intranet• Lezing• Presentaties voor 33 clusters• Gesprekken in MT

11

Lessons learned

Investeer in bewustwording

Verwerkingenregister als hulpmiddel om overzicht te houden

Grote risico’s (mail, wachtwoorden thuis werken) als eerste aanpakken

Rolbewustzijn bij bestuur en management

Kracht van de herhaling

12

Valkuilen

• Haast, alles tegelijk willen doen

• Beveiliging een technisch verhaal

• Juridische benadering AVG

• Het blijft een feestje van de projectgroep

• Management buiten beeld

• Eenmalige actie

13

Resultaat AVG en BIG in Heusden

Per 25 mei 2018 de 6 verplichte AVG-maatregelen ingevoerd.

Minstens zo belangrijk: • Geland in de organisatie

• Houding en gedrag medewerkers• Management voelt verantwoordelijkheid

14

15

16

17

Vervolg

• Formatieuitbreiding

• Definitieve inbedding van de rollen in de organisatie

• Acties worden opgenomen in risicomanagementsysteem en krijgt zo eenplaats in de bedrijfsvoeringscyclus

• Blijvende aandacht voor privacy en informatiebeveiliging

18

Borging Privacy / Beveiliging o.b.v. raamwerk VNG

19

Bron: Privacy sociaal domein, privacyraamwerk – www.vng.nl

Vertaalslag naar Heusden

Powerpoint template > Gemeente Heusden 20

Taak College enRaad

MT /clustermanager

Controller

CISO FG PA Vakspecialist

Governanceen Beleid

Opstellen I&P beleid en jaarplan

XX

X X X

Implementeren maatregelen X x X

Controleren maatregelen X X X X X

Werkprocessen

Bijhouden verwerkingenregister X X X

Uitvoeren PIA X X (fiat) X (ter kennisname)

X X

Afhandelen Inzageverzoek X X X

Afhandelen datalekken X X X X X

Bewustwording en training X X X X

Behandelen vragen / calls X X X X

Handleidingen / Checklists

Hoe kijk ik erop terug?

Geen gemakkelijk proces…….

• Vechten voor een podiumplaats

• Gedoe rondom de standaard-verwerkersovereenkomsten

• Laten aansluiten bij de praktijk van alledag?

• Hoe blijf je bij de les in alle ontwikkelingen die er op je afkomen?

21

Quick scan & AVG-check

Is de gemeentelijke organisatie in control?

Niels van der MeijWim Keuvelaar

Voor 25 mei 2018

ZomervakantieNa 25 mei

20189 mei 2019

Van project- naar lijnorganisatie

2515-5-2019Is de gemeentelijke organisatie in

control?

Plan

Do

Check

Act

Inventarisatie

Gap analyse

Projectuitvoering

• Ten opzichte van het projectplan?

• Heeft de organisatie een goed en volledig beeld?

• Hoe doet de organisatie het in relatie tot andere gemeenten?

• Waar staan we in relatie tot andere overheden/sectoren?

• Is de organisatie “in control”?

26

15-5-2019Is de gemeentelijke organisatie in

control?

Waar staat de organisatie?

15-5-2019 27Is de gemeentelijke organisatie in

control?

Wanneer is de organisatie “in control”?

Artikel 5 AVG

5 lid 1: Beginselen: rechtmatigheid, behoorlijkheid en transparantie; doelbinding: minimale gegevensverwerking; juistheid; opslagbeperking; en integriteit en vertrouwelijkheid.

5 lid 2: De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

28

15-5-2019Is de gemeentelijke organisatie in

control?

Artikel 24 AVG

1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

3. (…)

29

15-5-2019Is de gemeentelijke organisatie in

control?

Dat betekentVerantwoordingsplicht: de verzameling verplichtingen waaraan een organisatie moet voldoen om te kunnen aantonen dat voldaan wordt aan de vereisten van de AVG.

In control wanneer de organisatie in staat is de verantwoordingsplicht na te leven.

Concreet: Baseline Informatiebeveiliging Overheid

• ENSIA, overgangsjaar 2019

30

15-5-2019Is de gemeentelijke organisatie in

control?

VolwassenheidsniveausNiveau Naam Omschrijving

1 Initieel Beheersingsmaatregelen zijn niet of gedeeltelijk gedefinieerd en/of worden op inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen.

2Herhaalbaar Beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd.

3Gedefinieerd Beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De uitvoering is aantoonbaar en wordt getoetst.

4Beheerst en meetbaar

De uitvoering is aantoonbaar en wordt getoetst. De effectiviteit van de beheersingsmaatregelen wordt periodiek geëvalueerd.

5Continu verbeteren

De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering.

Volwassenheidsniveaus

32

15-5-2019Is de gemeentelijke organisatie in

control?

Niveau 1: Initieel

Niveau 2: Herhaalbaar

Niveau 3: Gedefinieerd

Niveau 4: Beheerst en meetbaar

Niveau 5: Continu verbeteren

Vraag; welk volwassenheidsniveau denkt u, heeft uw gemeente/organisatie bereikt m.b.t. de AVG?

VolwassenheidsniveausNiveau Naam Omschrijving

1 Initieel Beheersingsmaatregelen zijn niet of gedeeltelijk gedefinieerd en/of worden op inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen.

2Herhaalbaar Beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd.

3Gedefinieerd Beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De uitvoering is aantoonbaar en wordt getoetst.

4Beheerst en meetbaar

De uitvoering is aantoonbaar en wordt getoetst. De effectiviteit van de beheersingsmaatregelen wordt periodiek geëvalueerd.

5Continu verbeteren

De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering.

De uitdaging voor de FG

• BIO, AVG en ENSIA

• Bestuur en management

• Er moet nog het nodige gebeuren voordat we als gemeenten het minimaal gewenste volwassenheidsniveau 3 bereikt hebben.

34

15-5-2019 Is de gemeentelijke organisatie in control?

De uitdaging voor de FG

Stelling; aandacht bestuur en management voor privacybescherming neemt af.

“We zijn toch klaar met AVG?”

35

15-5-2019 Is de gemeentelijke organisatie in control?

De uitdaging voor de FG

Stelling; de BIO helpt bij de implementatie van de AVG.

36

15-5-2019 Is de gemeentelijke organisatie in control?

De uitdaging voor de FG

Stelling; de Functionaris Gegevensbescherming staat er alleen voor. Het is moeilijk om het verantwoordelijk management en bestuur mee te krijgen bij het verbeteren van de privacybescherming.

37

15-5-2019 Is de gemeentelijke organisatie in control?

De uitdaging voor de FG

Stelling; we zijn voorlopig nog niet klaar. Er moet nog het nodige gebeuren voordat onze gemeente het minimaal gewenste volwassenheidsniveau 3 bereikt heeft.

38

15-5-2019 Is de gemeentelijke organisatie in control?

De uitdaging voor de FG

• BIO, AVG en ENSIA

• Bestuur en management

• Er moet nog het nodige gebeuren voordat we als gemeenten het minimaal gewenste volwassenheidsniveau 3 bereikt hebben.

39

15-5-2019 Is de gemeentelijke organisatie in control?

AVG Quick scan

Wat is het volwassenheidsniveau van de organisatie?

• Interviews met maximaal 4 stakeholders. Gemeentesecretaris, Functionaris Gegevensbescherming, CISO, stakeholder aan te wijzen door gemeente.

• De opgehaalde gegevens worden tussentijds ter verificatie voorgelegd

• Input wordt uitgewerkt in een rapportage met het volwassenheidsniveau en de onderbouwing daarvan.

• De daarmee opgedane kennis is meetbaar en daarmee een uitstekend vertrekpunt voor het initiëren van vervolgstappen.

41

15-5-2019Is de gemeentelijke organisatie in

control?

AVG Quick scan

AVG Check

In welke mate is de organisatie “in control”?

43

15-5-2019 Is de gemeentelijke organisatie in control?

Vraag; doet uw FG structureel onderzoek naar interne naleving van de AVG en wordt daarop gerapporteerd?

• Een onderzoek dat de kenmerken heeft van een audit.

• Scope is belangrijk aandachtspunt:

• Samenwerkingsverbanden (bijvoorbeeld samenwerking binnen een gemeenschappelijke regeling).

• Organisatie, of deel van de organisatie (Sociaal Domein).

• Afdeling (bijvoorbeeld Afdeling Burgerzaken of Afdeling Wmo).

44

15-5-2019Is de gemeentelijke organisatie in

control?

De AVG-check

• De AVG-check:• omvat een lijst met bevindingen

• geeft inzicht in de mate waarin men in control is.

• Biedt handvatten voor FG en CISO bij het opzetten van een interne audit structuur.

• Biedt inzicht en kan gebruikt worden voor het formuleren van vervolgstappen (PDCA).

• Geeft antwoord op de vraag of organisatie in aanmerking komt voor keurmerk van een RE conform ISAE 3000 rapport.

• Ervaring: de AVG-check is alleen nuttig bij een gebleken volwassenheidsniveau van 3 of hoger.

45

15-5-2019Is de gemeentelijke organisatie in

control?

De AVG-check

Het onderzoek richt zich op:

• het ontwerp van het privacy management framework = de maatregelen om te voldoen aan de verantwoordingsplicht.

• de wijze waarop deze maatregelen in de praktijk geconcretiseerd zijn.

Vraag aan de Autoriteit Persoonsgegevens;Hoe staat het met ontwikkelen van een officieel AVG-certificaat voor organisaties?

15-5-2019 46Is de gemeentelijke organisatie in

control?

Wat wordt er precies onderzocht?

Er kan geheel vrijblijvend een afspraak gemaakt worden om specifieke vragen van uw gemeente te bespreken.

Vragen

Sumatrastraat 233

2585 CR Den Haag

+31(0)70 7200960

info@ivo-partners.nl

www.ivo-partners.nl

Een presentatie over DL… DE BASISHoe komt u als gemeente “In control?”

Agenda:

1. In control, een utopische gedachte?

2. Starten vanuit de basis

3. Wanneer is “goed”, goed genoeg?

“In Control”

“In Control” in a connected world.

1. Meer potentiële ingangen dan ooit

2. Iedereen kan aanvaller zijn

3. De medewerkers als primaire doelwit

Medewerkers zijn niet de zwakste schakel, zij zijn het primaire

doelwit van de aanvaller.

De eerste verdedigingslinie.

Starten vanuit de basis

BREACHES

https://www.citrix.com/blogs/2019/04/04/citrix-provides-update-on-unauthorized-internal-network-access/

97% van alle Data Breaches:

• Gestolen, Ontbrekende, Gekraakte, Zwakke Wachtwoorden

• Niet de laatste updates geïnstalleerd

• Non-optimaal geconfigureerde systemen

https://www.ponemon.org

Security Impact van GDPR op organisaties

• Artikel 32 van de GDPR stelt dat:

• de verantwoordelijke organisatie de beveiliging van persoonsgegevens permanent moet garanderen

Artikel 32 van de GDPR verplicht organisaties tot:

• Het treffen van passende organisatorische en technische maatregelen (huidige staat van techniek)

BEPAAL JE RISICO PROFIEL & KIES HET JUISTE POSTUUR

Risico: Pup maakt de kamer kapotBeleid: Pup mag niet alleen in de kamer blijven

Maatregel: Effectief: Realiteit:

Algemeen risico matrix:

Cybercrime as a service / Geautomatiseerd

Insider Threat Advanced Cybercrime

Nation State

Kans om getroffen te worden

Zeer Groot Groot Klein Klein

Mogelijkheid tot succesvol verdedigen

Uitstekend Goed Matig Nihil

Impact Groot Zeer Groot Zeer Groot Extreem

Resources nodig om te verdedigen

Gemiddeld Gemiddeld Veel Extreem

Risico’s

Cybercrime as as Service

Geautomatiseerde aanvallen

SocialEngineering

Insider Threat

99%

Re

sou

rce

s

Passive/ Essential Monitoring Active – Detect and Response

Proactive – APT hunting

SIEM

EDR/EDTR (Enterprise Inspector)

EP

Encryption (EEE)

Threat Intelligence Subscription (Threat Intelligence)

MFA/2FA (ESA)

Network Traffic Analysis (TA – Grey Cortex)

Backup and Recovery (TA - Xopero)

Management console

DLP (TA - Safetica)

Security maturity ( complexity of security technology)

Automated actions, ad-hoc reactions on identified risks

Automated actions, active monitoring of current state with actions reacting to alerts on attack or potential risks

Internal data analysis and state monitoring in order to detect targeted attacks , actions according to policies/plan aimed to respond to attacks and possible attacks

Proactive hunting of Advanced Persistent Threats based on abnormalities identified form internal and external sources

As needed/”install and forget”0-1 people

Dedicated: Part-time specialist1-3 people

Formal team: Full-time specialist2-5 people

Security Operations Center (SOC), Incident Response (IR) capability: 24x7 shifts~10 people

Fusion: specialized SOC, IR, Intel teams15+ people

Managed Security Operations (Outsourced SOC)

Managed Endpoint / Monitored Endpoint (Outsourced Monitoring)

Advanced Threat Detection (EDTD)

Volwassenheid:

AVFirewall

Patch Management (TA -Flexera)

Mobile Device Management (MDM)

NAC (Network Access Control)

COMPLIANCE

POLICY

CONTINUOUS MONITORING& ANALYSIS

Adaptive Security Architecture

Harden Systems

Isolate Systems

Prevent Attacks

Detect Incidents

Confirm and prioritize risk

Contain Incidents

Remediate

Design / Model policy change

Investigate incidents / retrospective analysis

Baseline systems and security posture

Anticipate threats / attacks

Risk-prioritized exposure assesment

COMPLIANCE

POLICY

CONTINUOUS MONITORING& ANALYSIS

Adaptive Security Architecture

Endpoint & Server Security (mobile)

Multi-factor authentication

Encryption

Monitoring & Logging

Data Loss Prevention

Incident Response Plan

GOOGLE ALERTS

Patch & Vulnerability Management

The challenge

Time

Resources

2020

Assessment

Weerbaar

Compliant

In-control

• Phishing test• Security Audits• Penetration testing• Risk Assesment• PIA

• Patch Management• Endpoint Security• IDS / IPS • Logging• Remote Wipe• 2Factor Authenticatie• Incident Response Plan• Password Policy

(password manager)• Scanning for

vulnerabilities

• Encryption• Pseudonimisering• Dataminimalisation• Purpose of data• Right & priviliges• Segmentation• Information security policy• Internal vulnerability scanning• Contractor agreements

• Monitoring• DLP• Netwerk Segmentatie• Network Analysis• Security by design• Privacy by design• DPO• Threat Intelligence• Security Alerting• Endpoint Detection &

Response• Situational• Continuous Assessments

Wanneer is goed, genoeg?

Visie op informatiebeveiliging:

• Hoe ga ik om met een veranderend dreigingslandschap?

• Door de basis altijd op orde te hebben.

• Waar moet ik beginnen?

• Te beseffen dat je weerbaar bent, een plan te maken en wachtwoordbeleid aan te passen & te updaten.

• Hoe ver moet ik gaan?

• Totdat je een goedlopend proces hebt van basismaatregelen, deze periodiek worden getoetst & aangepast aan een wisselend risico profiel.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-

ontvangt-bijna-21000-datalekken-2018

Data Loss Prevention

• Automatisering van Dataclassificatie (BSN)

• Inzicht in datastromen

• DLP gaat in gesprek met medewerker (Security Awareness)

DLP Audit:

• Samenwerking met Swinth op organisatorisch niveau

• Binnen één maand inzicht in de huidige datastromen

• Doorlooptijd minimaal (1 á 3 dagen)

• Mogelijkheid tot continue DLP

• ESET klanten kosteloos uitrollen voor één maand

Tips: • Doe een DLP Audit

• Focus op een “hip”wachtwoordenbeleid

• Logging, Logging, Logging

• Wachtwoordkluis

• MFA

• Best practices, Peerlyst, For Dummies

• Encryptie & DLP

• Emailvertraging

• Google Alerts

Add me: Dave Maasland

Talk to me: Dave.maasland@eset.nl

Intro slide

Gemeenten & de AVG – hoe kijkt de AP hiertegen aan?

Cecile Schut, directeur Systeemtoezicht, Beveiliging en Technologie

33% Afbeelding 3x

Wat komt aan bod?

Autoriteit Persoonsgegevens 86

InleidingWat kan beter?

4 aandachtspunten voor gemeenten

Handhaving door de AP

25% Afbeelding 4x

Vier aandachtspunten voor gemeenten

Autoriteit Persoonsgegevens 87

Wees transparant

Wees wijs met pilots

Weet de FG te vinden

Werk samen

50% Tekst + 50% Afbeelding

Wees transparant

Uw inwoners willen weten:

• Welke gegevens verzamelt u?

• Wat gebeurt daarmee?

• Met wie deelt u de gegevens?

• Waarom doet u dat?

Autoriteit Persoonsgegevens 88

100% Tekst

Wees wijs met pilots

Autoriteit Persoonsgegevens 89

AVG-beginselen: Vragen:

• wettelijke grondslag • Past binnen taak als gemeente?

• doelbinding • Nodig om persoonsgegevens te verwerken?

• dataminimalisatie • Welke gegevens zijn noodzakelijk?

• beveiliging

100% Tekst

Weet de FG te vinden

Wat doet de FG?

➢ adviseert en houdt intern toezicht

Wat adviseert de AP?

➢ geef de FG de tijd! (o.a. in vroeg stadium bij plannen betrekken)

Voor FG’s: contact met AP➢Tel. 070-8888660➢E-mail: FG@autoriteitpersoonsgegevens.nl

Autoriteit Persoonsgegevens 90

100% Tekst

Werk samen

• Veel gemeenten lopen tegen dezelfde problemen aan

• Initiatieven: VNG, CIP, best practices gemeenten

• Advies AP: zoek samenwerking op!

➢ bijvoorbeeld: samen richtlijnen opstellen

Autoriteit Persoonsgegevens 91

100% Tekst

Handhaving door de AP

• Rol van de FG

• Risicogericht toezicht: burger centraal

• Toezichtkader 2018-2019: focus op o.a. overheid

• Speciale aandacht voor:

• beveiliging van persoonsgegevens

• grondslag van de verwerking (vooral bij uitwisseling gegevens)

• Van voorlichting naar handhaving

Autoriteit Persoonsgegevens 92

Outro slide